責任共有モデルとは何ですか？

クラウドサービスにおけるセキュリティの責任範囲を、クラウド事業者と利用者で分担する考え方。IaaS・PaaS・SaaSでそれぞれ責任の境界線が異なる。

責任共有モデルのポイントは？

クラウドのセキュリティは事業者だけ・利用者だけの責任ではなく、両者で分担するという考え方。IaaSではOS以上が利用者責任、PaaSではアプリとデータが利用者責任、SaaSでは主にデータと設定が利用者責任。AWS・Azure・GCPなど主要クラウドベンダーが公式に責任共有モデルを定義・公開している。クラウドの設定ミスによる情報漏洩事故の多くは利用者側の責任範囲で発生している

【せきにんきょうゆうもでる】

責任共有モデルとは？

💡 クラウドの鍵は二人で持つ、守る範囲を決める契約書

📌 このページのポイント

クラウドのセキュリティは事業者だけ・利用者だけの責任ではなく、両者で分担するという考え方
IaaSではOS以上が利用者責任、PaaSではアプリとデータが利用者責任、SaaSでは主にデータと設定が利用者責任
AWS・Azure・GCPなど主要クラウドベンダーが公式に責任共有モデルを定義・公開している
クラウドの設定ミスによる情報漏洩事故の多くは利用者側の責任範囲で発生している

責任共有モデル：サービス形態により責任の境界が変わる

ひよこ

クラウドを使ってたらセキュリティは全部クラウド会社がやってくれるんじゃないの？

ペンギン先生

それがよくある誤解なんだ。クラウド事業者が守るのはインフラ部分で、その上で動くアプリやデータの管理は利用者の責任だよ。マンションで例えると、建物の構造は管理会社が守るけど、部屋の鍵の管理は住人の責任だよね

ひよこ

IaaSとSaaSで責任の範囲が違うの？

ペンギン先生

大きく違うよ。IaaSでは仮想マシンのOSやミドルウェアも利用者が管理する。SaaSではアプリケーションまで事業者が面倒を見てくれるから、利用者はデータの管理とアクセス設定くらいが責任範囲になるんだ

ひよこ

実際にどんな事故が起きてるの？

ペンギン先生

S3バケットの公開設定ミスで顧客データが丸見えになった事故は何度もニュースになっているよ。これはAWSのインフラの問題じゃなくて、利用者の設定ミス。責任共有モデルを理解していれば防げた事故なんだ

ひよこ

結局、利用者は何をすればいいの？

ペンギン先生

まず自分の責任範囲を正しく把握すること。そしてIAMの権限設定、暗号化、ログ監視を確実にやることだね。クラウドベンダーが提供するセキュリティ設定のベストプラクティスに従うのが一番の近道だよ

ひよこ

ゼロトラストとも関係あるの？

ペンギン先生

深く関係しているよ。ゼロトラストは「何も信頼しない」前提でアクセス制御する考え方で、責任共有モデルの利用者側の責任を果たすための具体的な手段になるんだ。クラウド時代のセキュリティは両方セットで理解するのが大事だね

まとめ：ざっくりこれだけ覚えればOK！

「責任共有モデル」って出てきたら「クラウドのセキュリティは事業者と利用者で分担する約束」と思えればだいたいOK！

📖 おまけ：英語の意味

「Shared Responsibility Model」＝責任共有モデル

💬 AWSが最初に明確に定義して広まった概念で、クラウドの「of」と「in」で責任を分けるのが特徴だよ

← 用語集にもどる

責任共有モデル とは？

責任共有モデルとは？